Nieuw datalek niet uitgesloten vanwege verouderde software en gebrek aan personeel

AMERSFOORT De gemeente Amersfoort heeft nog veel verouderde software waar persoonlijke gegevens opgeslagen staan. Kennis hierover is niet altijd meer aanwezig en er is te weinig personeel om de software op te schonen. Dat bleek dinsdag tijdens een debat over een groot datalek vorige maand waarbij honderdduizend gegevens van Amersfoorters op straat kwamen te liggen.

door Peter de Langen

Het spoeddebat ging over de consequenties van het lek, waarbij meer dan 100.000 ‘gewone persoonsgegevens’, zoals NAW-gegevens, e-mailadres, telefoonnummer, geboortedatum en geslacht openbaar werden gemaakt. Ook werden ongeveer 5.750 BSN-nummers gehackt. Dat gebeurde allemaal bij een softwareleverancier van de gemeente.

Lees ook

Weer een datalek in Amersfoort: mogelijk 100.000 inwoners getroffen

 

Het spoeddebat was aangevraagd door Amersfoort2014 waarbij meerdere elementen een hoofdrol speelden. Zoals de vraag wat er wordt gedaan om inwoners te ondersteunen, als zij getroffen worden door bijvoorbeeld criminele activiteiten als gevolg van het datalek. Er zijn ook zorgen over verouderde software bij de gemeente. Daarnaast ging het ook over de communicatie nadat het nieuws bekend geworden was.

De gemeente heeft een plan van aanpak om de verouderde software op te schonen, maar dat zal zeker niet voor 2026 gerealiseerd zijn. Het gevolg hiervan is dat de gemeente niet voldoet aan wettelijke eisen. De ‘gewone persoonsgegevens’ die worden gebruikt voor bijvoorbeeld het maken van een afspraak, moeten na een bepaalde termijn worden verwijderd. De verouderde software heeft dat niet automatisch gedaan, daardoor moeten dit soort gegevens handmatig worden verwijderd.Maarten Flikkema (fractievoorzitter VVD) noemde het ‘bijzonder’ dat die verouderde software nog steeds niet was opgeschoond. Een geluk bij een ongeluk is dat de versleuteling waarmee gegevens zijn verstuurd naar de softwareleverancier, niet is gehackt. Daarmee is de schade enigszins beperkt gebleven.

BSN GEGEVENS

Er kwam ook duidelijkheid over oorzaak van de hack van de BSN-gegevens. In het verleden werden deze gegevens soms door inwoners zelf in vrije invulvelden gezet. Later gebeurde dit soms ook door ambtenaren. Daardoor konden deze gegevens ook gehackt worden. Dit had, volgens de wethouder, niet mogen gebeuren. Inwoners die dit overkomen is, hebben hierover een brief gekregen.

Diverse raadsleden vonden dat er te laat is gecommuniceerd over lek. Op 31 oktober was er al een vermoeden en dat werd op 1 november gemeld bij de Autoriteit Persoonsgegevens. ,,Waarom is er toen niet direct bericht naar buiten gebracht, zodat inwoners zich ook mentaal konden voorbereiden op eventuele gevolgen van dat datalek?” vroeg raadslid Van der Eerden (Amersfoort2014) aan de wethouder.

Waarom is er toen niet direct bericht naar buiten gebracht, zodat inwoners zich ook mentaal konden voorbereiden op eventuele gevolgen van dat datalek?

Wethouder Johnas van Lammeren, die verantwoordelijk is voor ICT binnen de gemeentelijke organisatie: ,,Op het moment van het constateren van het mogelijke datalek (31 oktober) was feitelijk nog geen enkel antwoord op de vragen. Is er daadwerkelijk data gelekt, wat is er gelekt en wie loopt welk risico? Wij hebben toen ingeschat, dat een algemeen bericht tot onrust en vragen zou leiden waarop we op dat moment geen antwoord hadden.”

Van Lammeren gaf verder aan dat de gemeente op 19 november nog een bericht kreeg van de advocaat van de leverancier dat de database niet gelekt was. De dag daarna, 20 november, kwam het bericht dat dit wel zo was.

Pas op 3 december zijn bewoners geïnformeerd, mede omdat de gemeente zeker wilde zijn dat er geen schadeclaims van de leverancier waren te verwachten. Meerdere raadsleden vinden dat de termijn tussen het informeren van bewoners en de kennis over het datalek te lang heeft geduurd. Ze vinden dat er gemakshalve maar voorbij gegaan is aan het feit dat de raad zelf al vertrouwelijk was geïnformeerd.

‘DOE AANGIFTE’

Raadslid Thomas van Eerden (Amersfoort2014) vroeg nog aan de wethouder meer aandacht voor ‘bijvoorbeeld senioren en laaggeletterden die moeite hebben met het digitale tijdperk’. Van Lammeren begreep die zorgen. In buurt- en wijkwinkels is informatie aanwezig en kunnen inwoners met hun vragen terecht. Op de website van de gemeente is informatie in verschillende talen te vinden.

De wethouder gaf ook aan open te staan voor suggesties om nog meer en beter te informeren. Als mensen getroffen worden door criminaliteit dan is, volgens de wethouder, toch echt de politie de eerst aangewezene. Hij riep inwoners op om in dergelijke gevallen aangifte te doen.

Wethouder van Lammeren werd stevig aan de tand gevoeld en moest zich uitgebreid verantwoorden. Hij begreep de druk vanuit de gemeenteraad om het opschoningsproces te versnellen. Hij gaf wel een ‘winstwaarschuwing’. Er wordt volgens hem hard gewerkt aan het probleem, maar het gaat echt nog tijd kosten. Er zijn teveel verouderde databestanden. Garanties dat het niet nog een keer gaat gebeuren, kan hij niet geven. Voor de gemeenteraad was het voor dit moment genoeg en er zijn geen politieke consequenties voor de wethouder.

(Dit artikel kwam tot stand in samenwerking met Nieuwsplein33, een journalistieke combinatie van De Stad Amersfoort, De Stadsbron en RTV Utrecht).